Une victime de plus – Chaque semaine, l’écosystème DeFi au sens large est victime de hacks. Le dernier en date a ciblé le protocole Lodestar Finance sur le layer 2 Arbitrum. Le préjudice est estimé à plus de deux millions de dollars.
Lodestar Finance victime d’un hack
Lodestar Finance est un protocole DeFi de l’écosystème d’Arbitrum. Samedi 10 décembre, les équipes du protocole ont alerté la communauté que celui-ci avait été la cible d’une attaque.
« Le protocole a été exploité et les dépôts ont été drainés. Nous avons fixé tous les taux d’intérêt à 0 afin que les soldes d’offre et d’emprunt ne bougent pas pendant que nous évaluons les options de récupération. »
Rapidement, les premières investigations font émerger la thèse d’une attaque par manipulation d’oracle. Selon les informations rapportées par Lodestar, l’attaquant aurait réussi à engranger un bénéfice de 5,8 millions de dollars.
Retour sur le déroulement de l’attaque
Dès la première publication, les équipes de Lodestar ont réussi à déterminer les causes ainsi que le mode opératoire utilisé lors de l’attaque.
Dans un premier temps, l’attaquant a manipulé le taux de change du contrat plvGPL amenant le taux à 1,83 GPL par plvGPL. Pour ce faire, il a eu recours à un important flashloan. Il a ensuite déposé des plvGPL en tant que collatéral sur le protocole pour emprunter l’ensemble des liquidités disponibles.
Par la suite, l’attaquant a entrepris de vendre les jetons empruntés. Une situation qui a en partie été contenue par les mécanismes de collatéralisation du protocole.
Néanmoins, cela n’a pas empêché le protocole de se retrouver insolvable avec plusieurs millions de dollars de mauvaise dette.
D’après les recherches menées par Solidity Finance, la manipulation de l’oracle a été possible, car « l’oracle n’a pas correctement pris en compte l’impact d’un utilisateur appelant la fonction donate() ».
« L’attaquant a emprunté une importante somme d’argent et a manipulé le prix sur le GLPOracle pour augmenter la valeur de leur garantie bien au-delà des valeurs réalistes. En conséquence, il a pu emprunter plus qu’il n’aurait dû en fonction de la valeur réelle de sa garantie. »
Négociations avec l’attaquant
Suite à cet événement dramatique pour le protocole, les équipes de Lodestar tentent actuellement de prendre contact avec l’attaquant.
« Avis à l’attaquant, contactez-nous pour que nous puissions trouver un accord de type white hat et passer à autre chose. Récupérer les fonds de nos utilisateurs est la principale priorité et nous récompenserons généreusement votre collaboration. »
De son côté, l’attaquant n’a pour le moment pas répondu aux tentatives de négociation on-chain.
Évidemment, ce type d’événements surviennent sur l’ensemble des blockchains DeFi. Ainsi, le protocole Helio a récemment fait les frais du hack de Ankr, en étant une victime collatérale.
Pour vous, c’est décidé ! Pas besoin de tergiverser, vous dites “oui” aux cryptomonnaies ! Faites le plein de Bitcoin, d’Ether et autres tokens sur le plus grand exchange du monde. Courez vous inscrire sur la plateforme Binance, LA référence absolue du secteur, et bénéficiez de 10 % de remise sur vos frais de trading (lien commercial).
